OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。
OWASP Japanは2013年11月1日、「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。安全なWebアプリケーションを実現するため、開発を依頼する発注者側と、実際に開発を担う受注者側の双方が留意すべき要件についてまとめている。
The Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体だ。最も頻繁に見られるWebアプリケーションの脆弱性をまとめた「OWASP Top Ten」を毎年公開している(関連記事)ほか、Webセキュリティに特化したイベント「OWASP AppSec」などを実施している(関連記事)。OWASP Japanはその日本支部という位置付けだ。
Webシステム/Webアプリケーションセキュリティ要件書は、セキュリティ要件を明確にし、「安かろう、悪かろう」ではなく、適切なコストでセキュリティ対策が施されたWebアプリケーションを開発できる環境作りを目指してまとめられた。もともとトライコーダが2009年から作成・公開していた文書を、OWASP Japan セキュリティ要件定義書ワーキンググループがリライトし、成果物として公開した。
同要件書は、Webシステム/Webアプリの発注側で要求仕様やRFP(提案依頼書)作成に携わる担当者と、受注側で要件定義書の作成に当たる担当者、双方を対象に、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめている。開発言語やフレームワークなどには依存しない内容だ。
具体的には、認証、認可(アクセス制御)やセッション管理、HTTPS(暗号化通信)などの実装指示に加え、クロスサイトスクリプティングやクロスサイトリクエストフォージェリといった代表的な脆弱性への対策といった項目が含まれている。また、エンジニアの視点では見落としがちな画面遷移やエラーメッセージ表示にも触れている。
同様の狙いを持ったWebシステム/Webアプリのセキュリティ要求仕様としては、地方自治情報センター(LASDEC)が2012年に、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を公表していた。LASDECの仕様が、主に地方自治体における入札シーンを想定しているのに対し、OWASP Japanのセキュリティ要件書は、一般的な開発も含めた広い範囲が対象だ。
OWASP Japanではこの要件書によって、開発会社と発注者の瑕疵担保契約の責任分解点を明確にし、安全なWebシステム/Webアプリケーションの開発につなげてほしいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.